Neues zum Datenschutz

Impfzertifikate per QR-Code – ein Überblick

Das Nachweisen einer COVID-Impfung wird derzeit regelmäßiger gefordert. Das soll nun europaweit durch digitale Impfzertifikate per QR-Code erleichtert werden. Die genauen Vorgänge werden hierbei streng beobachtet und auch datenschutzrechtlich überdacht.

Die Impfung als Einlassvoraussetzung

Laut einer aktuellen Statistik von Our World In Data sind knapp 60% der deutschen Bevölkerung vollständig gegen COVID-19 geimpft (Stand 02.Sep 2021). Der Nachweis einer solchen Impfung wird derzeit insbesondere bei grenzüberschreitenden Reisen innerhalb der EU zur Vereinfachung von Reisen etabliert: Reisende müssen entweder einen Nachweis der vollständigen Impfung, einer Genesung, oder ein negatives Testergebnis vorzeigen. Außerdem wird ein solcher Nachweis präsenter im Alltag innerhalb Deutschlands. Für Teilnahmen an Veranstaltungen oder Gastronomiebesuchen gelten vorzuzeigende Impfnachweise immer häufiger zu gängigen Corona-Schutzmaßnahmen. Neben den Impfausweisen werden außerdem auch bei Einlässen Nachweise einer Genesung und negative Testergebnisse akzeptiert und überprüft.

Digitalisierung des Nachweises

Der digitale Impfausweis soll das Nachweisen als Digitalisierung der gelben Impfheftchen erleichtern. Neben Stempeln in den gelben Impfheftchen werden zu der Corona-Impfung dafür Dokumente mit QR-Codes gegeben, die man mit seinem Mobiltelefon einscannen und somit immer digital dabeihaben kann. Diese QR-Codes enthalten Daten zur Person (Name, Geburtsjahr) und zur Impfung (bspw. Impfstoff, Ort und Datum der Impfung).

Erstellung des Impfzertifikats

Das Robert-Koch-Institut ist verantwortlich für die Erstellung und damit einhergehende Datenverarbeitung eines digitalen Impfnachweises. Das erstellte Zertifikat erhält Daten, festgehalten in der EU-Verordnung in Artikel 5 Absatz 2, zu den Kategorien: Inhaberidentität, Impfstoffinformationen und -dosenanzahl und Metadaten zur Zertifikatserkennung. Die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit konkretisiert in der FAQ zum Impfausweis, dass es sich namentlich um folgende Daten handelt: Name und Geburtsdatum der geimpften Person, Zielerreger, Impfstoff, Hersteller des Impfstoffs, Daten der Impfungen bei Mehrfachdosen bzw. der Impfung, Mitgliedsstaat der Impfung und Verantwortliche der Nachweisersteller sowie Metadaten des Impfnachweises.

Das medizinische Personal bei einer Impfstelle trägt die Daten einer Person in ein Online-Formular beim Impfzertifikatsservice ein, woraufhin ein QR-Code erstellt und ausgegeben werden kann – per Post oder beim Verlassen der Impfstelle. Die geimpfte Person scannt den QR Code mit ihrem Mobiltelefon ein und kann das darin enthaltene Zertifikat in Apps wie der CovPassApp oder Corona-Warn-App speichern.

Einsatz der digitalen Impfzertifikate

Während einer Überprüfung, beispielsweise bei einem Konzerteinlass, scannt die CovPassCheck-App den QR-Code. Die prüfende Person erhält sodann keinen Einblick auf alle hinterlegten Datensätze: die europäischen Impfzertifikate zeigen bei Einscannen durch Kontrolleure in einem Ampel-System an, ob die Person, die ihren QR-Code bzw. ihr Impfzertifikat einscannen lässt, geimpft, genesen oder negativ getestet ist. Ist das der Fall, enthält die kontrollierende Person eine grüne Anzeige, sowie die Gültigkeit des Zertifikats, den Namen der vorzeigenden Person und ihr Geburtsdatum. Es werden keine Daten auf dem Mobiltelefon der Kontrolleure gespeichert.

Warum Datenschützer genau hinschauen

Grundsätzlich sind Datenschutzrechtler besonders skeptisch, wenn Lösungen gesucht und schnell digital gefunden werden – so wie beispielsweise die Planung und Entwicklung eines europäischen Impfzertifikatssystems. Hinzukommt, dass es sich bei den hier verarbeiteten Daten um höchstpersönliche gesundheitliche Daten handelt: Art. 9 DSGVO umfasst besonders sensible Daten, die unter besonderem Schutz stehen müssen und benennt unter anderem Gesundheitsdaten. Diese dürfen, insbesondere ohne Rechtsgrundlage, nicht von jedem eingesehen werden.

Somit steht mit der Einführung eines digitalen Impfzertifikats die Frage im Raum, wer dieses von Personen anfordern und überprüfen darf. Die Gesundheitsdaten werden nirgends zentral, sondern lokal auf den Mobiltelefonen der jeweiligen Nutzer/innen gespeichert. Eine Datenverarbeitung außerhalb der lokalen Abspeicherung findet lediglich bei der Übermittlung der Impfstelle zum Robert-Koch-Institut statt.

Bei der Verarbeitung von sensiblen Daten und App-Anwendungen ist eine datenschutzrechtliche Einschätzung nicht zu unterschätzen. Wenden Sie sich jederzeit an Ihre Datenschutzbeauftragten, um Nachfragen und Datenverarbeitungsvorgänge lösen und überprüfen zu lassen.

Diese Fachbeiträge könnten Sie auch interessieren:

Luisa Köhler
Datenschutzbeauftragte (TÜV)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.